Vorsicht bei der Nutzung von US-Cloud-Diensten
Widersprüche zur DSGVO
Die DSGVO regelt in Artikel 48 explizit die Herausgabe von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Rechtlich dürfen Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Daneben ist allerdings auch Artikel 5 der DSGVO von Bedeutung, der weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer verlangt.
Michael Scheffler von Bitglass führt aus, ein grundlegender Unterschied bestehe in der Rolle von Datenverarbeitungs- und Unternehmensstandort. Die DSGVO setze am Verarbeitungsstandort an und sehe strenge Richtlinien vor, wenn Daten in Regionen ausserhalb ihres Geltungsbereichs übermittelt werden sollen. Der CLOUD Act hingegen beanspruche für sich ein Zugriffsrecht auf Daten von in den USA registrierten Firmen und zwar bezüglich all ihrer Verarbeitungsstandorte weltweit. "Die Schwierigkeit, die sich im Zusammenwirken von CLOUD Act und DSGVO ergibt, ist folgende: Der CLOUD Act ermächtigt die in seinen Geltungsbereich fallenden Unternehmen dazu, gegen die DSGVO zu handeln: Die ServiceAnbieter sind nicht dazu verpflichtet, Betroffene über die Herausgabe der Daten an die US-Behörden in Kenntnis zu setzen. Gleichzeitig findet damit eine nicht vorschriftsmässige Übermittlung von personenbezogenen Daten in ein Drittland statt. Ausserdem sind lediglich die Service-Anbieter dazu berechtigt, gegen die Herausgabe Widerspruch einzulegen. All das verstösst gegen die Vorgaben der DSGVO."
Datenschützer sehen ausserdem mit Besorgnis, dass der CLOUD Act kaum Vorgaben für den Zugriff der US-Behörden macht. Dies bringe Unternehmen in die Zwickmühle, die personenbezogene Daten in Cloud-Services hosten. Man könne ihnen gemäss der DSGVO vorwerfen, dass sie den Zugriff unbefugter Dritter und die unsachgemässe Übermittlung von Daten in Drittländer billigend in Kauf genommen hätten. Und es gibt noch einen verschärfenden Punkt: Der US-Präsident darf nach Belieben mit Staaten Abkommen zum erweiterten Datenabfluss schliessen. Die Behörden dieser Staaten dürfen dann auch Daten von US-Cloud-Providern erhalten - ohne Gerichtsbeschluss.